Teilen über


Erstellen eines Volumes mit dualem Protokoll für Azure NetApp Files

Azure NetApp Files unterstützt das Erstellen von Volumes mithilfe von NFS (NFSv3 oder NFSv4.1), SMB3 oder einem dualen Protokoll (NFSv3 und SMB, oder NFSv4.1 und SMB). In diesem Artikel wird beschrieben, wie Sie ein Volume erstellen, das ein Dual-Protokoll mit Unterstützung der LDAP-Benutzerzuordnung verwendet.

Informationen zum Erstellen von NFS-Volumes finden Sie unter Erstellen eines NFS-Volumes für Azure NetApp Files. Informationen zum Erstellen von SMB-Volumes finden Sie unter Erstellen eines SMB-Volumes für Azure NetApp Files.

Voraussetzungen

Wichtig

Wenn Sie eine benutzerdefinierte RBAC-Rolle (Role-Based Access Control, rollenbasierte Zugriffssteuerungsrolle) oder Identity & Access Management (IAM)-Rolle verwenden, muss zum Erstellen oder Aktualisieren eines Volumes die Microsoft.Network/virtualNetworks/subnets/read-Berechtigung konfiguriert sein.

Weitere Informationen zu Berechtigungen und zum Überprüfen der Berechtigungskonfiguration finden Sie unter Erstellen oder Aktualisieren von benutzerdefinierten Azure-Rollen über das Azure-Portal.

  • Sie müssen bereits einen Kapazitätspool erstellt haben.
    Informationen dazu finden Sie unter Einrichten eines Kapazitätspools.
  • Ein Subnetz muss an Azure NetApp Files delegiert werden.
    Siehe Delegieren eines Subnetzes an Azure NetApp Files.
  •  Die Möglichkeit, ein Volumekontingent zwischen 50 und 100 GiB festzulegen, befindet sich derzeit in der Vorschau. Sie müssen sich für das Feature registrieren, bevor Sie ein 50-GiB-Volume erstellen können.
    1. Registrieren Sie die Funktion:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
      
    2. Überprüfen Sie den Status der Funktionsregistrierung:

      Hinweis

      Der RegistrationState kann bis zu 60 Minuten lang den Wert Registering aufweisen, bevor er sich in Registered ändert. Warten Sie, bis der Status Registered lautet, bevor Sie fortfahren.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
      

      Sie können auch die Azure CLI-Befehle az feature register und az feature show verwenden, um das Feature zu registrieren und den Registrierungsstatus anzuzeigen.

Überlegungen

  • Achten Sie darauf, die Anforderungen für Active Directory-Verbindungen zu erfüllen.

  • Erstellen Sie eine Reverse-Lookup-Zone auf dem DNS-Server, und fügen Sie dann einen Zeigereintrag (PTR) des AD-Hostcomputers in dieser Reverse-Lookup-Zone hinzu. Andernfalls kann das Volume mit dualem Protokoll nicht erstellt werden.

  • Die Option Lokale NFS-Benutzer mit LDAP zulassen für Active Directory-Verbindungen dient dazu, lokalen Benutzern gelegentlichen und temporären Zugriff zu bieten. Wenn diese Option aktiviert ist, funktionieren die Benutzerauthentifizierung und die Suche über den LDAP-Server nicht mehr, und die Anzahl der Gruppenmitgliedschaften, die Azure NetApp Files unterstützt, ist auf 16 beschränkt. Daher sollten Sie diese Option für Active Directory-Verbindungen deaktivieren, außer wenn ein lokaler Benutzer auf LDAP-fähige Volumes zugreifen muss. In diesem Fall sollten Sie diese Option deaktivieren, sobald der lokale Benutzer keinen Zugriff mehr auf das Volume benötigt. Informationen zum Verwalten lokaler Benutzer finden Sie unter Lokalen NFS-Benutzern mit LDAP den Zugriff auf ein Doppelprotokollvolume gestatten.

  • Stellen Sie sicher, dass der NFS-Client auf dem neuesten Stand ist, und führen Sie die neuesten Updates für das Betriebssystem aus.

  • Volumes mit dualen Protokollen unterstützen sowohl Active Directory Domain Services (AD DS) als auch Microsoft Entra Domain Services.

  • Die Verwendung von LDAP über TLS mit Microsoft Entra Domain Services wird von Volumes mit dualen Protokollen nicht unterstützt. LDAP über TLS wird mit Active Directory Domain Services (AD DS) unterstützt. Weitere Informationen finden Sie unter Überlegungen zu LDAP über TLS.

  • Für ein Volume mit Dual-Protokoll kann als NFS-Version entweder NFSv3 oder NFSv4.1 verwendet werden. Die folgenden Überlegungen sind zu berücksichtigen:

    • Das duale Protokoll unterstützt die erweiterten Attribute set/get von Windows-ACLs von NFS-Clients nicht.

    • NFS-Clients können keine Berechtigungen für den NTFS-Sicherheitsstil ändern, und Windows-Clients können keine Berechtigungen für Doppelprotokollvolumes im UNIX-Format ändern.

      In der folgenden Tabelle werden die Sicherheitsstile und deren Auswirkungen beschrieben:

      Sicherheitsstil Clients, die Berechtigungen ändern können Berechtigungen, die von Clients verwendet werden können Resultierender effektiver Sicherheitsstil Clients, die auf Dateien zugreifen können
      Unix NFS NFSv3- oder NFSv4.1-Modusbits UNIX NFS und Windows
      Ntfs Windows NTFS-ACLs NTFS NFS und Windows
    • Die Richtung, in der die Namenszuordnung erfolgt (Windows zu UNIX oder UNIX zu Windows), hängt davon ab, welches Protokoll verwendet wird und welcher Sicherheitsstil auf ein Volume angewendet wird. Ein Windows-Client erfordert immer eine Windows-zu-UNIX-Namenszuordnung. Ob ein Benutzer zur Überprüfung von Berechtigungen zugewiesen ist, hängt vom Sicherheitsstil ab. Umgekehrt muss ein NFS-Client nur dann eine UNIX-zu-Windows-Namenszuordnung verwenden, wenn der NTFS-Sicherheitsstil verwendet wird.

      Die folgende Tabelle beschreibt die Namenszuordnungen und Sicherheitsstile:

      Protokoll Sicherheitsstil Richtung der Namenszuordnung Angewendete Berechtigungen
      SMB Unix Windows zu UNIX UNIX (Modusbits oder NFSv4.x-ACLs)
      SMB Ntfs Windows zu UNIX NTFS-ACLs (basierend auf der Windows-SID, die auf die Freigabe zugreift)
      NFSv3 Unix Keine UNIX (Modusbits oder NFSv4.x-ACLs)

      NFSv4.x-ACLs können mit einem NFSv4.x-Administratorclient angewendet und von NFSv3-Clients berücksichtigt werden.
      NFS Ntfs UNIX zu Windows NTFS-ACLs (basierend auf der zugeordneten Windows-Benutzer-SID)
  • Das Feature „LDAP mit erweiterten Gruppen“ unterstützt das Dualprotokoll von [NFSv3 und SMB] sowie von [NFSv4.1 und SMB] mit dem Unix-Sicherheitsansatz. Weitere Informationen finden Sie unter Konfigurieren von AD DS LDAP mit erweiterten Gruppen für Zugriff auf NFS-Volumes.

  • Wenn Sie über große Topologien verfügen und den Unix-Sicherheitsansatz mit einem Dualprotokoll-Volume oder LDAP mit erweiterten Gruppen verwenden, können Sie die Option LDAP-Suchbereich auf der Seite „Active Directory-Verbindungen“ verwenden, um Fehler vom Typ „Zugriff verweigert“ für Azure NetApp Files auf Linux-Clients zu vermeiden. Weitere Informationen finden Sie unter Konfigurieren von AD DS LDAP mit erweiterten Gruppen für Zugriff auf NFS-Volumes.

  • Sie benötigen zum Erstellen eines Volumes mit dualem Protokoll kein Serverzertifikat von einer Stammzertifizierungsstelle. Dies ist nur erforderlich, wenn LDAP über TLS aktiviert ist.

  • Informationen zu dualen Azure NetApp Files-Protokollen und zu verwandten Aspekten finden Sie im Artikel „Grundlegendes zu NAS-Protokollen in Azure NetApp Files“ Abschnitt Duale Protokolle.

Erstellen eines Dual-Protokoll-Volumes

  1. Wählen Sie auf dem Blatt „Kapazitätspools“ das Blatt Volumes aus. Wählen Sie + Volume hinzufügen aus, um ein Volume zu erstellen.

    Navigieren zu Volumes

  2. Wählen Sie im Fenster „Volume erstellen“ die Option Erstellen aus, und geben Sie auf der Registerkarte „Allgemeine Informationen“ Informationen in den folgenden Feldern an:

    • Volumename
      Geben Sie den Namen für das Volume an, das Sie erstellen möchten.

      Informationen zu Namenskonventionen für Volumes finden Sie unter Benennungsregeln und -einschränkungen für Azure-Ressourcen. Außerdem können Sie weder default noch bin als Volumenamen verwenden.

    • Kapazitätspool
      Geben Sie den Kapazitätspool an, in dem das Volume erstellt werden soll.

    • Kontingent
      Geben Sie die Menge an logischem Speicherplatz an, die dem Volume zugewiesen wird.

      Das Feld Verfügbares Kontingent zeigt den ungenutzten Speicherplatz im ausgewählten Kapazitätspool an, den Sie beim Erstellen eines neuen Volumes verwenden können. Die Größe des neuen Volumes darf das verfügbare Kontingent nicht überschreiten.

    • Großes Volume

      Normale Volumekontingente liegen zwischen 50 GiB und 100 TiB. Große Volumenkontingente reichen von 50 TiB bis 1 PiB. Wenn das Volumenkontingent voraussichtlich in den großen Volumenbereich fällt, wählen Sie Jaaus. Volumenkontingente werden in GiB eingegeben.

      Wichtig

      Wenn Sie zum ersten Mal große Volumes verwenden, müssen Sie zuerst das Feature registrieren und eine Erhöhung des regionalen Kapazitätskontingents anfordern.

      Normale Volumes können nicht in große Volumes konvertiert werden. Die Größe von großen Volumes kann nicht in weniger als 50 TiB geändert werden. Informationen zu den Anforderungen und Überlegungen im Zusammenhang mit großen Volumes finden Sie unter Anforderungen und Überlegungen für große Volumes. Weitere Grenzwerte finden Sie unter Ressourcenbeschränkungen.

    • Durchsatz (MiB/s)
      Wenn das Volume in einem manuellen QoS-Kapazitätspool erstellt wird, geben Sie den für das Volume gewünschten Durchsatz an.

      Wenn das Volume in einem automatischen QoS-Kapazitätspool erstellt wird, lautet der in diesem Feld angezeigte Wert (Kontingent x Serviceleveldurchsatz).

    • Aktivieren Sie Cool Access, Coolness Period und Cool Access Retrieval Policy.
      Diese Felder konfigurieren den Azure NetApp Files-Speicher mit kalter Zugriffsebene. Beschreibungen finden Sie unter Verwalten des Azure NetApp Files-Speichers mit kalter Zugriffsebene.

    • Virtuelles Netzwerk
      Geben Sie das virtuelle Azure-Netzwerk (VNET) an, von dem aus Sie auf das Volume zugreifen möchten.

      Das von Ihnen angegebene VNET muss über ein an Azure NetApp Files delegiertes Subnetz verfügen. Auf Azure NetApp Files kann nur vom gleichen VNet aus oder per VNet-Peering von einem VNet aus zugegriffen werden, das sich in der gleichen Region befindet wie das Volume. Sie können auch über ExpressRoute von Ihrem lokalen Netzwerk aus auf das Volume zugreifen.

    • Subnetz
      Geben Sie das Subnetz an, das Sie für das Volume verwenden möchten.
      Das von Ihnen angegebene Subnetz muss an Azure NetApp Files delegiert werden.

      Wenn Sie kein Subnetz delegiert haben, wählen Sie auf der Seite „Volume erstellen“ die Option Neu erstellen aus. Geben Sie dann auf der Seite „Subnetz erstellen“ die Subnetzinformationen an, und wählen Sie Microsoft.NetApp/volumes aus, um das Subnetz für Azure NetApp Files zu delegieren. In jedem VNET kann nur ein Subnetz an Azure NetApp Files delegiert werden.

      Erstellen eines Subnetzes

    • Netzwerkfunktionen
      In unterstützten Regionen können Sie angeben, ob Sie für das Volume Basic- oder Standard-Netzwerkfeatures verwenden möchten. Ausführlichere Informationen finden Sie unter Konfigurieren von Netzwerkfeatures für ein Volume und Richtlinien für die Azure NetApp Files-Netzwerkplanung.

    • Verschlüsselungsschlüsselquelle Sie können Microsoft Managed Key oder Customer Managed Key auswählen. Informationen zur Verwendung dieses Felds finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln für die Azure NetApp Files-Volumeverschlüsselung und Doppelte Verschlüsselung ruhender Dateien von Azure NetApp Files.

    • Verfügbarkeitszone
      Mit dieser Option können Sie das neue Volume in der logischen Verfügbarkeitszone bereitstellen, die Sie angeben. Wählen Sie eine Verfügbarkeitszone aus, in der Azure NetApp Files-Ressourcen vorhanden sind. Details finden Sie unter Verwalten der Volumeplatzierung von Verfügbarkeitszonen.

    • Wenn Sie eine vorhandene Momentaufnahmerichtlinie auf das Volume anwenden möchten, wählen Sie Abschnitt „Erweitert“ anzeigen aus, um den Bereich zu erweitern, geben Sie an, ob Sie den Momentaufnahmepfad ausblenden möchten, und wählen Sie im Pulldownmenü eine Momentaufnahmerichtlinie aus.

      Informationen zum Erstellen einer Momentaufnahmenrichtlinie finden Sie unter Verwalten von Momentaufnahmenrichtlinien.

      Abschnitt „Erweitert“ anzeigen

  3. Wählen Sie die Registerkarte Protokoll aus, und führen Sie anschließend die folgenden Aktionen aus:

    • Wählen Sie Dual-Protokoll als Protokolltyp für das Volume aus.

    • Geben Sie die zu verwendende Active Directory-Verbindung an.

    • Geben Sie einen eindeutigen Volumepfad an. Dieser Pfad wird verwendet, wenn Sie Einbindungsziele erstellen. Für den Pfad gelten die folgenden Anforderungen:

      • Für Volumes, die sich nicht in einer Verfügbarkeitszone oder nicht in der gleichen Verfügbarkeitszone befinden, muss der Volumepfad innerhalb jedes Subnetzes in der Region eindeutig sein.
      • Für Volumes in Verfügbarkeitszonen muss der Volumepfad innerhalb der jeweiligen Verfügbarkeitszone eindeutig sein. Dieses Feature befindet sich derzeit in der Vorschauphase und muss von Ihnen registriert werden. Weitere Informationen finden Sie unter Verwalten der Volumeplatzierung von Verfügbarkeitszonen.
      • Er muss mit einem Buchstaben beginnen.
      • Er darf nur Buchstaben, Ziffern oder Gedankenstriche (-) enthalten.
      • Er darf höchstens 80 Zeichen lang sein.
    • Geben Sie die zu verwendenden Versionen für das Dual-Protokoll an: NFSv4.1 und SMB oder NFSv3 und SMB.

    • Geben Sie unter Sicherheitsstil den zu verwendenden Sicherheitsstil an: NTFS (Standardeinstellung) oder UNIX.

    • Wenn Sie die SMB3-Protokollverschlüsselung für das Volume mit dualem Protokoll aktivieren möchten, wählen Sie SMB3-Protokollverschlüsselung aktivieren aus.

      Durch dieses Feature wird die Verschlüsselung nur für In-Flight-SMB3-Daten aktiviert. NfSv3-In-Flight-Daten werden nicht verschlüsselt. SMB-Clients ohne Verwendung der SMB3-Verschlüsselung können nicht auf dieses Volume zugreifen. Ruhende Daten werden unabhängig von dieser Einstellung verschlüsselt. Weitere Informationen finden Sie unter SMB-Verschlüsselung.

    • Wenn Sie NFSv4.1 und SMB als Versionen für das Volume mit Dual-Protokoll ausgewählt haben, geben Sie an, ob Sie die Kerberos-Verschlüsselung für das Volume aktivieren möchten.

      Für Kerberos sind zusätzliche Konfigurationen erforderlich. Befolgen Sie die Anweisungen unter Konfigurieren der NFSv4.1-Kerberos-Verschlüsselung.

    • Wenn Sie die zugriffsbasierte Enumeration aktivieren möchten, wählen Sie Zugriffsbasierte Enumeration aktivieren aus.

      Bei der zugriffsbasierten Aufzählung werden unter einer Freigabe erstellte Verzeichnisse und Dateien für Benutzer ohne Zugriffsberechtigungen ausgeblendet. Sie können die Freigabe weiterhin anzeigen. Die zugriffsbasierte Enumeration kann nur aktiviert werden, wenn das Volume mit dualen Protokollen den NTFS-Sicherheitsstil verwendet.

    • Sie können das Feature für nicht durchsuchbare Freigaben aktivieren.

      Dieses Feature verhindert, dass der Windows-Client die Freigabe durchsucht. Die Freigabe wird weder im Windows-Dateibrowser noch in der Liste der Freigaben angezeigt, wenn Sie den Befehl net view \\server /all ausführen.

    • Passen Sie nach Bedarf die Unix-Berechtigungen an, um Änderungsberechtigungen für den Bereitstellungspfad anzugeben. Die Einstellung gilt nicht für die Dateien unter dem Einbindepfad. Die Standardeinstellung ist 0770. Diese Standardeinstellung gewährt dem Besitzer und der Gruppe Lese-, Schreib- und Ausführungsberechtigungen, anderen Benutzern werden jedoch keine Berechtigungen gewährt.
      Für das Festlegen von Unix-Berechtigungen gelten Registrierungsanforderungen und -überlegungen. Befolgen Sie die Anweisungen unter Konfigurieren von Unix-Berechtigungen und des Modus zum Ändern des Besitzers.

    • Optional können Sie die Exportrichtlinie für das Volume konfigurieren.

    Angeben eines dualen Protokolls

  4. Wählen Sie Überprüfen und erstellen aus, um die Volumedetails zu überprüfen. Wählen Sie dann Erstellen aus, um das Volume zu erstellen.

    Das von Ihnen erstellte Volume wird auf der Seite „Volumes“ angezeigt.

    Ein Volume erbt Abonnement-, Ressourcengruppen- und Standortattribute aus dem Kapazitätspool. Den Volumebereitstellungsstatus können Sie auf der Benachrichtigungsregisterkarte überwachen.

Lokalen NFS-Benutzern mit LDAP den Zugriff auf ein Doppelprotokollvolume gestatten

Mit der Option Lokale NFS-Benutzer mit LDAP zulassen für Active Directory-Verbindungen können lokale NFS-Clientbenutzer, die auf dem Windows-LDAP-Server nicht vorhanden sind, auf ein Volume mit zwei Protokollen zugreifen, für das LDAP mit aktivierten erweiterten Gruppen aktiviert ist.

Hinweis

Bevor Sie diese Option aktivieren, sollten Sie sich diese Überlegungen ansehen.
Die Option Lokale NFS-Benutzer mit LDAP zulassen ist Teil des Features LDAP mit erweiterten Gruppen und erfordert eine Registrierung. Weitere Informationen finden Sie unter Konfigurieren von AD DS LDAP mit erweiterten Gruppen für NFS-Volume-Zugriff.

  1. Wählen Sie Active Directory-Verbindungen aus. Wählen Sie in einer vorhandenen Active Directory-Verbindung das Kontextmenü (die drei Punkte ) und dann Bearbeiten aus.

  2. Wählen Sie im angezeigten Fenster Active Directory-Einstellungen bearbeiten die Option Lokale NFS-Benutzer mit LDAP zulassen aus.

    Screenshot, der die Option lokale NFS-Benutzer mit LDAP zulassen anzeigt

Verwalten von LDAP-POSIX-Attributen

Sie können POSIX-Attribute wie z. B. UID, Basisverzeichnis und andere Werte über das MMC-Snap-In „Active Directory-Benutzer und -Computer“ verwalten. Im folgenden Beispiel ist der Active Directory-Attribut-Editor dargestellt:

Active Directory-Attribut-Editor

Sie müssen die folgenden Attribute für LDAP-Benutzer und LDAP-Gruppen festlegen:

  • Erforderliche Attribute für LDAP-Benutzer:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Erforderliche Attribute für LDAP-Gruppen:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Alle Benutzer und Gruppen müssen über eindeutige Werte für uidNumber und gidNumber verfügen.

Die für objectClass angegebenen Werte sind separate Einträge. Beispielsweise hätte im mehrwertigen String Editor objectClass getrennte Werte (user und posixAccount), für Benutzer von LDAP wie folgt bestimmt:

Screenshot: Editor für mehrwertige Zeichenfolgen, der mehrere für objectClass angegebene Werte zeigt.

Microsoft Entra Domain Services ermöglicht es Ihnen nicht, das POSIX-Attribut „objectClass“ für Benutzer und Gruppen zu ändern, die in der Organisationseinheit für AADDC-Benutzer erstellt wurden. Zur Umgehung können Sie eine benutzerdefinierte Organisationseinheit einrichten und Benutzer und Gruppen in dieser benutzerdefinierten Organisationseinheit erstellen.

Wenn Sie die Benutzer und Gruppen in Ihrem Microsoft Entra-Mandanten mit Benutzern und Gruppen in der Organisationseinheit für AADDC-Benutzer synchronisieren, können Sie Benutzer und Gruppen nicht in eine benutzerdefinierte Organisationseinheit verschieben. Benutzer und Gruppen, die in der benutzerdefinierten Organisationseinheit erstellt wurden, werden nicht mit Ihrem AD-Mandanten synchronisiert. Weitere Informationen finden Sie unter Überlegungen und Einschränkungen zu benutzerdefinierten Organisationseinheiten.

Zugreifen auf den Active Directory-Attribut-Editor

Auf einem Windows-System können Sie wie folgt auf den Active Directory-Attribut-Editor zugreifen:

  1. Wählen Sie Start aus, und navigieren Sie zu Windows-Verwaltungstools. Wählen Sie dann Active Directory-Benutzer und -Computer aus, um das Fenster „Active Directory-Benutzer und -Computer“ zu öffnen.
  2. Wählen Sie den Domänennamen aus, den Sie anzeigen möchten, und erweitern Sie dann den Inhalt.
  3. Um den erweiterten Attribut-Editor anzuzeigen, aktivieren Sie die Option Erweiterte Features im Menü Ansicht des Fensters „Active Directory-Benutzer und -Computer“.
    Screenshot: Zugriff auf das Menü „Erweiterte Features“ des Attribut-Editors.
  4. Wählen Sie im linken Bereich Benutzer aus, um die Liste der Benutzer anzuzeigen.
  5. Wählen Sie einen bestimmten Benutzer aus, um die zugehörige Registerkarte Attribut-Editor anzuzeigen.

Konfigurieren des NFS-Clients

Befolgen Sie die Anweisungen unter Konfigurieren eines NFS-Clients für Azure NetApp Files, um den NFS-Client zu konfigurieren.

Nächste Schritte